Certificat SSL et XMLHttpRequest

zecreator · 22/04/2007, 14h09

Bonjour,

J'ai besoin de fournir à des site de vente en ligne, un SDK en Javascript qui appelle des pages ASP depuis mon serveur grâce à l'objet XMLHttpRequest. Cependant, la sécurité connue de Mozilla et Netscape empêche les appels de pages sur des serveurs différents que celui du code appelant.

Donc, voilà mes questions :
Si je place un certificat SSL sur mon serveur, est-ce que cela pourra résoudre mon problème et permettre la communication de données entre mon serveur et celui des sites ?

Si oui, quel type de certificat faut-il, il me semble qu'il en existe pas mal ?

Faut-il également un certificat SSL sur le serveur qui héberge le site ?

Merci d'avance pour toutes vos réponses.

zzzThibaut · 23/04/2007, 07h27

Je pense que SSL ne va en aucune façon résoudre ton problème. En effet xmlhttprequest a été écrit dans le but de ne pas pouvoir envoyer des requêtes vers un autre domaine que celui renseigné dans l'utl. (Ceci pour des raisons de sécurité évidente). SSL ne changera donc rien au comportement du xmlhttprequest.

zecreator · 23/04/2007, 14h16

Hello,

Oui, c'est bien ce qui me semblait également. J'ai toutefois trouvé une parade qui fonctionne plutôt pas mal.

Si mes appels s'effectue depuis un domaine différent de mon serveur, je n'utilise pas XMLHttpRequest pour l'envoi de requete, mais une balise "<SCRIPT>", insérée dynamiquement, qui envoi la requete vers un fichier ASP/PHP, avec ou sans paramètres GET, qui retourne du code Javascript (text/javascript).

Du coup, la sécurité accepte cet appel sans problème, et je peux donc transmettre des données entre plusieurs domaines différents.

C'est un peu plus chaud a codé, mais ça fonctionne bien...

On peut toutefois se faire cette réflexion : "Pourquoi avoir posé cette sécurité pour XMLHttpRequest, alors que pour l'appels de scripts c'est faisable et tout aussi dangereux." ?

zzzThibaut · 23/04/2007, 14h50

simplement parceque xmlhttprequest a été créé après les scripts et donc avec un niveau de sécurité plus réfléchi (du moins c'est ce que je pense). Ceci dit, tu peux également codé tes appels vers ton serveurs et codé des pages php sur ton serveur qui feront les appels vers les domaines distants.
zzzThibaut

22/04/2007, 14h09	#1
zecreator Membre actif Inscription : janvier 2006 Messages : 204 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 204 Points : 151 Points : 151	Certificat SSL et XMLHttpRequest Bonjour, J'ai besoin de fournir à des site de vente en ligne, un SDK en Javascript qui appelle des pages ASP depuis mon serveur grâce à l'objet XMLHttpRequest. Cependant, la sécurité connue de Mozilla et Netscape empêche les appels de pages sur des serveurs différents que celui du code appelant. Donc, voilà mes questions : Si je place un certificat SSL sur mon serveur, est-ce que cela pourra résoudre mon problème et permettre la communication de données entre mon serveur et celui des sites ? Si oui, quel type de certificat faut-il, il me semble qu'il en existe pas mal ? Faut-il également un certificat SSL sur le serveur qui héberge le site ? Merci d'avance pour toutes vos réponses.
	00

23/04/2007, 07h27	#2
zzzThibaut Membre confirmé Inscription : février 2007 Messages : 223 Détails du profil Informations personnelles : Âge : 38 Informations forums : Inscription : février 2007 Messages : 223 Points : 253 Points : 253	Je pense que SSL ne va en aucune façon résoudre ton problème. En effet xmlhttprequest a été écrit dans le but de ne pas pouvoir envoyer des requêtes vers un autre domaine que celui renseigné dans l'utl. (Ceci pour des raisons de sécurité évidente). SSL ne changera donc rien au comportement du xmlhttprequest.
	00

23/04/2007, 14h16	#3
zecreator Membre actif Inscription : janvier 2006 Messages : 204 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 204 Points : 151 Points : 151	Hello, Oui, c'est bien ce qui me semblait également. J'ai toutefois trouvé une parade qui fonctionne plutôt pas mal. Si mes appels s'effectue depuis un domaine différent de mon serveur, je n'utilise pas XMLHttpRequest pour l'envoi de requete, mais une balise "<SCRIPT>", insérée dynamiquement, qui envoi la requete vers un fichier ASP/PHP, avec ou sans paramètres GET, qui retourne du code Javascript (text/javascript). Du coup, la sécurité accepte cet appel sans problème, et je peux donc transmettre des données entre plusieurs domaines différents. C'est un peu plus chaud a codé, mais ça fonctionne bien... On peut toutefois se faire cette réflexion : "Pourquoi avoir posé cette sécurité pour XMLHttpRequest, alors que pour l'appels de scripts c'est faisable et tout aussi dangereux." ?
	00

23/04/2007, 14h50	#4
zzzThibaut Membre confirmé Inscription : février 2007 Messages : 223 Détails du profil Informations personnelles : Âge : 38 Informations forums : Inscription : février 2007 Messages : 223 Points : 253 Points : 253	simplement parceque xmlhttprequest a été créé après les scripts et donc avec un niveau de sécurité plus réfléchi (du moins c'est ce que je pense). Ceci dit, tu peux également codé tes appels vers ton serveurs et codé des pages php sur ton serveur qui feront les appels vers les domaines distants. zzzThibaut
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email